Добрый день. При старте рабочего стола открывается EDGE со страницей воркноХру или елсерХру.
Спасибо
Добрый день. При старте рабочего стола открывается EDGE со страницей воркноХру или елсерХру.
Спасибо
Уважаемый(ая) _MVZ_, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Не совсем понял, что Вас посетило, но вот рецепт
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\nikza\AppData\Local\Hostinstaller\1919305284_installcube.exe',''); QuarantineFile('C:\Users\nikza\AppData\Roaming\FreeVPN\FreeVPN.exe',''); QuarantineFile('C:\Users\nikza\AppData\Local\PPTAssist\notify.exe',''); QuarantineFile('C:\Users\nikza\AppData\Local\PPTAssist\assistupdate.exe',''); QuarantineFile('C:\Users\nikza\AppData\Roaming\Media-Assistant\Updater.exe',''); SetServiceStart('netfilter2', 4); DeleteService('netfilter2'); SetServiceStart('CppWindowsService', 4); DeleteService('CppWindowsService'); QuarantineFile('C:\WINDOWS\system32\drivers\netfilter2.sys',''); TerminateProcessByName('C:\Program Files (x86)\filter\2\PFHttpContentFilter.exe'); QuarantineFile('C:\Program Files (x86)\filter\2\PFHttpContentFilter.exe',''); TerminateProcessByName('c:\program files (x86)\filter\2\cppwindowsservice.exe'); QuarantineFile('c:\program files (x86)\filter\2\cppwindowsservice.exe',''); DeleteFile('c:\program files (x86)\filter\2\cppwindowsservice.exe','32'); DeleteFile('C:\Program Files (x86)\filter\2\PFHttpContentFilter.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\netfilter2.sys','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','anuynmdkkm'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\nikza\AppData\Local\Microsoft\OneDrive\17.3.6302.0225_1\amd64'); DeleteFile('C:\Users\nikza\AppData\Local\PPTAssist\notify.exe','32'); DeleteFile('C:\Users\nikza\AppData\Local\PPTAssist\assistupdate.exe','32'); DeleteFile('C:\WINDOWS\Tasks\PPTAssistantUpdateTask_Salut.job','32'); DeleteFile('C:\WINDOWS\Tasks\PPTAssistantNotifyTask_Salut.job','32'); DeleteFile('C:\WINDOWS\Tasks\{46CDEDA7-83A8-D179-7CAF-0E70CCAE9663}.job','32'); DeleteFile('C:\Program Files (x86)\QQBrowser\Update\EF27F2FF129FB0B6C7C841A449C87A6B\Update\BrowserUpdate.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Browser Updater Task(Core)','64'); DeleteFile('C:\Users\nikza\AppData\Roaming\FreeVPN\FreeVPN.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64'); DeleteFile('C:\Users\nikza\AppData\Local\Hostinstaller\1919305284_installcube.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\{46CDEDA7-83A8-D179-7CAF-0E70CCAE9663}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил ссылкой сверху. И новые логи здесь.
А проблема была в том, что при входе в винду10 сам запускался МСэдж (заменитель IE), который открывал липовый поисковик, и с которого выйти уже было непросто (при закрытии вкладки открывались одна...две новых с рекламой или сасино).
Последний раз редактировалось _MVZ_; 02.08.2016 в 21:30. Причина: орфография
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
FRST.txt и Addition.txt
Последний раз редактировалось _MVZ_; 02.08.2016 в 23:27.
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKU\S-1-5-21-904423286-2706299825-3962582342-1001\...\Run: [632F675A-F047-47E9-B7A7-D429E6713832] => "C:\Users\nikza\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\632F675A-F047-47E9-B7A7-D429E6713832\686B1D06-44D4-45F5-9AD3-11A73A49A93C.exe" --getupdate-npapi-plugin HKLM\...\Policies\Explorer\Run: [632F675A-F047-47E9-B7A7-D429E6713832] => C:\Users\nikza\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\632F675A-F047-47E9-B7A7-D429E6713832\686B1D06-44D4-45F5-9AD3-11A73A49A93C.exe BHO-x32: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> No File Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - No File CHR StartupUrls: Profile 1 -> "hxxp://www.hohosearch.com/?mode=nnnb&ptid=isr&uid=EF27F2FF129FB0B6C7C841A449C87A6B&v=20160409&ts=AHEqA3AkB3QqAU..","hxxp://mail.ru/cnt/10445?gp=820479","hxxp://www.rambler.ru/","hxxp://mail.ru/cnt/10445?gp=821647","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=811040" CHR HKU\S-1-5-21-904423286-2706299825-3962582342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-904423286-2706299825-3962582342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [holihdldfgekmjfdhdinpfjbfnhcphia] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-904423286-2706299825-3962582342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-904423286-2706299825-3962582342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ipjjmoaaiokdonnldckdhmhojapklmdi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (SuperMegaBest - find best prices) - C:\Users\nikza\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2016-05-06] OPR Extension: (No Name) - C:\Users\nikza\AppData\Roaming\Opera Software\Opera Stable\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2016-05-11] 2016-07-20 07:01 - 2016-07-30 16:28 - 00000000 ____D C:\WINDOWS\filter 2016-07-20 07:01 - 2016-07-20 07:01 - 00000000 ____D C:\Users\nikza\AppData\Local\Вoйти в Интeрнет 2016-07-20 07:01 - 2016-01-12 18:04 - 00059896 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\netfilter2.sys 2016-07-20 07:00 - 2016-07-30 16:54 - 00000000 ____D C:\Users\nikza\AppData\Local\SearchGo 2016-07-20 07:00 - 2016-07-20 07:00 - 00000000 ____D C:\Users\nikza\AppData\LocalLow\SearchGo 2016-07-20 06:59 - 2016-07-20 06:59 - 00000000 ____D C:\Program Files (x86)\filter 2016-07-20 06:57 - 2016-07-20 06:57 - 00000000 ____D C:\Users\nikza\AppData\Local\Поиcк в Интeрнете 2016-05-11 13:47 - 2016-07-27 06:05 - 00000000 ____D C:\Users\nikza\AppData\Local\fupdate 2016-05-11 13:45 - 2016-07-30 23:03 - 00000000 ____D C:\Users\nikza\AppData\Local\svshost 2016-05-11 13:42 - 2016-05-11 15:41 - 00000000 ____D C:\Users\Все пользователи\KRB Updater Utility 2016-05-11 13:42 - 2016-05-11 15:41 - 00000000 ____D C:\ProgramData\KRB Updater Utility C:\Users\nikza\AppData\Local\Temp\27EB.tmp.exe C:\Users\nikza\AppData\Local\Temp\335.tmp.exe C:\Users\nikza\AppData\Local\Temp\3F3D.tmp.exe C:\Users\nikza\AppData\Local\Temp\506A.tmp.exe C:\Users\nikza\AppData\Local\Temp\71FB.tmp.exe C:\Users\nikza\AppData\Local\Temp\7D74.tmp.exe C:\Users\nikza\AppData\Local\Temp\exereader.exe C:\Users\nikza\AppData\Local\Temp\i4jdel0.exe C:\Users\nikza\AppData\Local\Temp\i4jdel1.exe C:\Users\nikza\AppData\Local\Temp\KBA862EF0E3DAA674B.exe C:\Users\nikza\AppData\Local\Temp\KBD9287870676C9E35.exe C:\Users\nikza\AppData\Local\Temp\lPeVJLJ5pG22.exe C:\Users\nikza\AppData\Local\Temp\mini_installer_new.exe AlternateDataStreams: C:\ProgramData\TEMP:69D4A686 [125] AlternateDataStreams: C:\Users\Все пользователи\TEMP:69D4A686 [125] Task: {CA51C0FA-98BD-412E-9BA7-22AAB85A7A77} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION Task: {8A0269BD-F67F-4544-98AF-B72222CDC79D} - \Browser Updater Task(Core) -> No File <==== ATTENTION Task: {6DF6D71E-A9E4-491F-A8C3-182CD80561E0} - \Soft installer -> No File <==== ATTENTION Task: {644C2F0B-9D70-4F39-AE74-3DEAF5B7A99B} - System32\Tasks\WinTsks => C:\Program Files (x86)\WinTsks\WinTsks\WinTsks.exe <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание, что будет выполнена перезагрузка компьютера.
О, открылась тема...
Да, еще успел загрузить в базу чистых файлов AVZ!!! Как убрать?
Результат загрузки
Файл сохранён как 160803_103100_virusinfo_files_SALUT_57a19db48b7d2. zip
Размер файла 153980997
MD5 182543abf788c561fc159f664349e8bc
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
пока все нормально, проблема не проявляется, машина забегала быстрей.
Проблема возникла из-за ручек или антивирус ее пропустил?
Спасибо.
Скорее ручки )
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за помощь.
- - - - -Добавлено - - - - -
только что попытался сам установиться "морской бой". Так он еще и установился
C:\Users\nikza\AppData\Local\4tools\Games\Морской Бой"
Сделайте лог AdwCleaner
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Днем удалил. А сейчас перезагрузил комп и он опять установился. Лог с заново установленным морским боем.
Отметьте и удалите все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
удалил. Наблюдаю?
Сегодня в 13.40 Морской бой (от RBC Games) снова установился, причем UAC включен на полную, компьютер никто не трогал.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь